Beantwoord

IPv6 problemen

  • 25 mei 2019
  • 14 reacties
  • 363 keer bekeken

Hallo allemaal,

Omdat ik geen antwoord kreeg in https://forum.kpn.com/internet-9/feedback-over-het-nieuwste-modem-van-kpn-v10a-454616/index14.html#post756978 dacht ik dat het misschien beter was om een apart topic te starten.

Waarschuwing: dit bericht bevat veel technische informatie en is vooral bedoeld voor KPN-medewerkers zodat ze het probleem kunnen oplossen :-)

Ik weet niet of dit het goede forum-topic is, maar ik heb volgens mij een bug gevonden in de V10a. Het gaat om IPv6-over-IPv4 tunnel (proto 41). Het lijkt erop dat sommige pakketen corrupt aankomen (dit gebeurt zowel aan de binnenkant als aan de buitenkant).

De reden dat ik een IPv6-over-IPv4 tunnel gebruik/wil gebruiken is dat de V10a nog steeds geen IPv6 heeft (aanstaan).

Ik heb al langere tijd een onstabiele IPv6-tunnel en na veel debuggen ben ik er achter gekomen dat ik soms pakketen krijg met een ongeldige IPv6-header *binnen* het IPv4 pakket. Ik heb met meerdere bronnen gecontroleerd (twee IPv6-capabele servers buitenshuis kunnen normaal met elkaar communiceren, maar beide servers hebben een probleem met mijn thuis-server. Ik heb dezelfde tunnel-provider gebruikt voordat ik van Ziggo naar KPN overstapte (en natuurlijk met een ander modem).

Ik heb twee plaatjes toegevoegd die de tcpdump weergeven. Het eerste plaatje is een correct pakket (het heeft "0110" oftewel versie 6 in de IP-header).



Het tweede plaatje laat een incorrect pakket zien (versie "0000" oftewel 0?) Dit zorgt ervoor dat het besturingssysteem het pakket als ongeldig ziet en dus dropt.



Omdat het soms wel werkt, soms niet, is de verbinding onstabiel: meestal gaat er verkeer overheen, maar soms pauzeert de verbinding ineens of wordt de verbinding verbroken (logisch, het wordt natuurlijk gezien als packetloss).

Kan hier iets mee gedaan worden? Het liefste zou ik natuurlijk zien dat er native IPv6-support in de V10a komt, maar dit probleem moet denk ik sowieso opgelost worden, want het lijkt op een bug die packets verminkt.
icon

Beste antwoord door Erik_ 14 juni 2019, 16:10

Ik heb een update voor je, sbare. Hoewel je er in de praktijk op dit moment niet heel veel aan hebt. Het is doorgezet naar de technische mensen. Zij gaan hier verder mee Echter. het is niet iets wat een prioriteit heeft om nu direct opgepakt te worden. Ik durf dan ook niet te zeggen wanneer wel. Als ik verdere updates krijg laat ik het weten.
Bekijk origineel

14 reacties

Reputatie 7
Ik laat het antwoord op jouw vraag graag aan @KPN Webcare over aangezien het hier de V10A betreft en dit apparaat wat mij betreft nooit aan de abonnee uitgeleverd had mogen worden.
Volgens KPN staat IPv6 op de V10A uit omdat de IPv6 implementatie nog vele bugs bevat.
Beste wjb,

Allereerst bedankt voor je medeleven 😉 Ik wil ook graag dat IPv6 aangezet wordt.

Echter, ik vermoed dat ik wat onduidelijkheid gecreërd heb met mijn bericht, sorry daarvoor!

Deze IPv6 pakketten komen niet standaard van de V10A. Ik heb zelf een IPv6-tunnel opgezet (omdat de V10A verdorie geen IPv6 ondersteuning heeft aanstaan en dat een van de redenen was dat ik naar KPN ben overgestapt!).

De meeste mensen zullen geen last hebben van dit probleem, alleen de mensen die (zoals ik) wel graag met IPv6 werken in combinatie met de V10A en dan maar een IPv6-tunnel regelen.

Ik heb dit gemerkt met zowel een tunnel van Hurricane Electric (tunnelbroker.net) als mijn eigen tunnel die ik opgezet heb met een VPS.

Het is een goed idee om @KPN Webcare te taggen, dus bij deze: zouden jullie daar naar willen kijken aub?
Reputatie 7
Badge +27
Hoi sbare, welkom op het forum!

Voor ik inga op je verhaal, eerst het volgende: het taggen van KPN Webcare heeft geen zin. @wjb, voor jou ook relevant want ik zag het je elders ook doen. KPN Webcare is geen account die wij op dit moment gebruiken. Mentions van dat account zien we dan ook niet.

Dan, de inhoud. Laat ik beginnen met dat ik ook niet heel veel verstand heb van IPv6. Als dit inderdaad een bug in de V10A is wil ik het met alle liefde doorzetten. Maar ik begrijp (nog) niet wat er precies aan de hand is. Kun je dit verder toelichten. Want als ik het dan doorzet, heb ik wel zoveel mogelijk informatie nodig.
Reputatie 7
Off-topic:


Aan het KPN logo te zien is dit account een account van KPN en het zou mijns inziens heel goed zijn als dat dat account ook actief gebruikt zou worden.
Hoi @Erik_, bedankt voor je reactie. Ik zal proberen het duidelijker toe te lichten. Ik weet niet precies of je naar meer overzichtdetails of meer technische details zoekt, dus ik zal proberen beide te doen.

Allereerst overzichtsdetails: Ik wil graag IPv6 gebruiken. De V10A ondersteunt dit (bij mijn weten) op dit moment niet. Er wordt al een een paar maanden gezegd dat hier aan gewerkt wordt, maar het is er nog steeds niet.

In de tussentijd wil ik graag IPv6, dus heb ik mijn IPv6-tunnel die ik bij mijn vorige provider (Ziggo) ook had weer aangezet. Dit houdt in dat IPv4-verkeer gewoon via KPN gaat, maar IPv6-verkeer gaat via de tunnelbroker (in dit geval Hurricane Electric).

Natuurlijk is het beter om geen tunnel te gebruiken, omdat je van minder partijen afhankelijk bent, en omdat de snelheid vaak beter is van een "native" (niet-tunnel) verbinding. Echter, ik wil graag IPv6 voor services die ik thuis draai, die met IPv4 veel lastiger en met veel meer nadelen te draaien zijn.

De tunnel-workaround werkte prima bij Ziggo, maar nu ik dat bij KPN wilde proberen, merkte ik bovenstaand probleem. Het lijkt er heel sterk op dat de pakketjes verminkt worden, iets wat een modem/gateway/router/firewall absoluut niet moet doen.

Dus, nu is mijn situatie slechter dan bij Ziggo: ik had daar native IPv6 (ook al was dat een pilot) en ik had daar een werkende IPv6-tunnel.

Bij KPN zou ik theoretisch native IPv6 moeten hebben, maar in de praktijk is er een bug in de firmware van de V10A en staat dat op dit moment uit. Blijkbaar zit er nog een bug in de firmware waarbij IPv6-tunnels (specifiek protocol 41) deels lijken te werken, maar onbetrouwbaar zijn omdat er veel pakketen verminkt aankomen. Het gevolg daarvan is dat veel TCP/IP verbindingen een timeout krijgen en dus foutmeldingen opleveren.

Dan technische details: Ik denk dat er al vrij veel in het eerste bericht staat, maar voor de zekerheid kan ik het het misschien duidelijker maken. Aan de ene kant van de tunnel (bijvoorbeeld bij mij thuis) pakt een IPv6-pakket binnenin een IPv4-pakket (IP-in-IP). Aan de andere kant van de tunnel (bijvoorbeeld de tunnelbroker) wordt het IPv6-pakketje uit het IPv4-pakketje gehaald en dan verder gestuurd over het IPv6-gedeelte van het internet.

Omgekeerd wordt het IPv6-pakketje wat naar mijn huis gestuurd wordt via het IPv6-gedeelte van het internet naar de tunnelbroker, die het binnenin een IPv4 pakketje stuurt en dan via IPv4 naar mijn huis stuurt. Daar pakt mijn server het IPv6-pakketje uit en stuurt het over het interne netwerk verder.

Dat is de theorie. In de praktijk gaat dit soms goed, maar soms niet. Soms wordt namelijk het IPv6 pakketje verminkt: het versie veld staat op "0" in plaats van "6" (dat is de "0000" vergeleken met "0110" in de plaatjes van het eerste bericht). De kernel dropt deze pakketen.

Ik heb ook een tunnel opgezet met een andere externe machine, om een fout bij de tunnelbroker uit te sluiten. Daar had zag ik het hetzelfde gebeuren. Zowel bij de pakketjes naar mijn huis (gezien met tcpdump binnen mijn huis) als bij de pakketjes van mijn huis naar de externe machine (gezien met tcpdump op de externe machine) zag ik dat de pakketjes op dezelfde manier verminkt waren.

Aangezien ik dit probleem eerder niet met Ziggo had, en de hardware en de software van mijn server hetzelfde zijn gebleven, vermoed ik dus de V10A, helemaal gezien de andere problemen van de firmware. Misschien zijn deze problemen zelfs wel gerelateerd, dat kan ik niet bepalen.

Hopelijk heb je wat aan deze aanvulling. Als je specifiekere vragen hebt, dan beantwoord ik dat graag (en dan zal ik ook wat korter antwoorden omdat ik nu natuurlijk wat minder goed wist waar je naar zocht ;))

Alvast bedankt!
Reputatie 7
Badge +27
Super, dank hiervoor, sbare. Ik snap nu wat je doet, en wat er misgaat. Ik ga het doorzetten naar onze modemmensen en kom er bij je op terug.

wjb: Het is ook wel een officieel KPN account, we gebruiken hem om de NPS berichten te versturen. Maar op dagbasis is er niemand met dat account bezig, dus zien we die mentions ook niet. De kortste klap om ons te bereiken is specifieke moderators mentionen, in het hulp-topic reageren, of een bericht rapporteren.
Dank! Ik hoor graag wat de modemmensen er van vinden 🙂
Hoi @Erik_ , heb je al iets gehoord? Ik heb er nog steeds last van.
Reputatie 7
Badge +27
Oef, dank voor de herinnering! Ik heb nog niets vernomen, ik mail er opnieuw achteraan.
Reputatie 7
Badge +27
Ik heb een update voor je, sbare. Hoewel je er in de praktijk op dit moment niet heel veel aan hebt. Het is doorgezet naar de technische mensen. Zij gaan hier verder mee Echter. het is niet iets wat een prioriteit heeft om nu direct opgepakt te worden. Ik durf dan ook niet te zeggen wanneer wel. Als ik verdere updates krijg laat ik het weten.
Beste Sbare,

Mag ik hier even aanhaken: ik heb al tijden ipv6 meedraaien, om de techniek te bekijken. Experiabox 10. Omdat KPN nog steeds geen IPV6 levert, ook via een 6to4 tunnel, niet via een officiele broker maar via 192.88.99.1. Score 18/20 op ipv6-test com. Sinds kort werkt dit niet meer....
Protocol 41 gaat naar buiten, maar er komt niets terug. Nu werkt dit officieel al niet achter een NAT router, omdat dit rare protocol niet te natten is, maar toch werkte het op een client tegelijkertijd, een soort VPN-passthrough blijkbaar. DMZ activeren levert ook niets op.
Tegelijkertijd slaat een ping naar 192.88.99.1 op hol, time to live exceeded, traceroute gaat naar surfnet, maar traceroute -I struikelt na 30 hops binnen hetzelfde systeem.
Dus.... is de firmware van de router veranderd en werkt protocol 41 niet meer, of zit er ergens een probleem in de infrastructuur ?

Met vriendelijke groeten,
Beste Sbare,

Nog even een aanvulling:
6to4 krijg ik met geen mogelijkheid meer aan de praat met de V10 Experia box. Nog eens een keer "Miredo" van stal gehaald, de Linux versie van Microsoft's Teredo. Ik had daar niet zo'n goede ervaring mee, maar nu blijkt het eigenlijk best goed te werken. Verbinding loopt o.a. via de HE 6to4 server in Amsterdam, en IPV6 is maar iets langzamer dan IPV4. Misschien is dat nog een workaround voor het moment ? IPV6 wordt hier in UDP pakketten ingekapseld in plaats van protocol 41, dus geen NAT problemen.


Met vriendelijke groeten,
Reputatie 7
Omdat KPN nog steeds geen IPV6 levert, ...
KPN levert al vele jaren dual stack (IPv4 en IPv6) op mijn aansluiting.
Beste wjb,

Sorry, nog steeds geen IPV6 levert op mijn adres. VDSL aansluiting.

Met vriendelijke groeten,

Reageer